일부 유용한 iptables 규칙


iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
허용 단일 IP 최대 연결 위해 30


iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT
iptables단일 주소 동시 접속 개수 제한


iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT
iptables 제한 단일 사용 c 클래스 부분망 의 동시 접속 수량


iptables -A INPUT -s 192.168.0.8|192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
만 허락 모 IP 또는 어떤 网段 기계 를 SSH 연결


iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
버릴 나쁜 TCP 가방


iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
처리 IP 조각 양 을 방지 공격을 허용 초당 100 개


iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
필터 설정 ICMP 가방 수 있도록 초당 1 혹이 제한 트리거 조건은 10개 가방


iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
금지 불법 연결


iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -p tcp -m limit --limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
SYN 공격 경량 방지하다


iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --syn --dport 22 -j ACCEPT
허용 방문 22 포트


iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --syn --dport 80 -j ACCEPT
허용 방문 80 포트


iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
다른 아직 마음대로 규칙 접근 금지 (메모: 만약 22 포트 아직 가입 할 수 있도록 규칙을 SSH 링크 직접 연결 끊기. )

글쓴이 Mee 작성일 2015-01-04 23:59